当前位置:   article > 正文

职业技能大赛网络系统管理赛道-2022国赛真题-网络构建大致解法_职业技能大赛 网络系统管理 真题解析

职业技能大赛 网络系统管理 真题解析

IPv6

R1(config-if-GigabitEthernet 0/0)#ipv6 ad 2001:10:3:1::1/64
R1(config-if-GigabitEthernet 0/0)#ipv6 enable   
  • 1
  • 2

链路聚合

S1,S2的两条互联链路(G0/7,G0/8),启用二层聚合,采用LACP动态聚合模式

S1:
S2(config)#interface  aggregatePort  1
S2(config-if-AggregatePort 1)#switchport mode trunk 
S2(config-if-AggregatePort 1)#switchport trunk allowed vlan only 10,20,100
S2(config-if-AggregatePort 1)#int r g 0/7-8        
S2(config-if-range)#port-group 1 mode  active 

S1:
S1(config)#interface  aggregatePort  1
S1(config-if-AggregatePort 1)#switchport mode trunk 
S1(config-if-AggregatePort 1)#switchport trunk allowed vlan only 10,20,100
S1(config-if-AggregatePort 1)#int r g 0/7-8        
S1(config-if-range)#port-group 1 mode  active 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

端口保护

局域网接入设备启用安全优化功能,控制局域网二层广播传播范围;限制接入层终端设备间广播交互

//端口保护适用于同一台交换机下需要进行用户二层隔离的场景,比如不允许同一个vlan内的用户互访,必须完全隔离,防止病毒扩散攻击等
  • 1
S3:
S3(config)#int range  g 0/2-20
S3(config-if-range)#switchport protected 

S4:
S4(config)#int range  g 0/2-20
S4(config-if-range)#switchport protected 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

环路保护

局域网接入设备启用环路功能优化,避免不同设备间,同一设备不同端口,同一设备单一端口下的多种环路现象;检测到环路后处理方式为Shutdown-port

S3:
S3(config)#rldp enable   //开启rldp
S3(config)#int range  g 0/1-20
S3(config-if-range)#spanning-tree portfast   //设置边缘端口 
S3(config-if-range)#spanning-tree bpduguard enable   //开启bpdu保护,边缘端口收到bpdu后会被error-down但是边缘端口属性不变
S3(config-if-range)#rldp port loop-detect shutdown-port  //开启环路保护,处理方式是shutdown-port
S3(config-if-range)#errdisable recovery interval 300   //当出现error-down状态后,300秒后自动恢复

S4:
S4(config)#rldp enable   //开启rldp
S4(config)#int range  g 0/1-20
S4(config-if-range)#spanning-tree portfast   //设置边缘端口 
S4(config-if-range)#spanning-tree bpduguard enable   //开启bpdu保护,边缘端口收到bpdu后会被error-down但是边缘端口属性不变
S4(config-if-range)#rldp port loop-detect shutdown-port  //开启环路保护,处理方式是shutdown-port
S4(config-if-range)#errdisable recovery interval 300   //当出现error-down状态后,300秒后自动恢复
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

VRRP

北京总部启用VRRP功能实现网关冗余备份的目的,其中S1为主设备,优先级为255;S2为备设备,优先级为100

S1:
S1(config)#interface  vlan 10
S1(config-if-VLAN 10)#vrrp 10 ip 172.16.1.1   
S1(config)#interface  vlan 20
S1(config-if-VLAN 20)#vrrp 20 ip 172.16.1.254
S1(config-if-VLAN 20)#vrrp 20 ipv6 FE80::1  //ipv6 vrrp 第一个需要设置链路本地地址 
S1(config-if-VLAN 20)#vrrp 20 ipv6 2002:1001:1001::254 //虚拟ip为自身,优先级255
S1(config)#interface  vlan 100
S1(config-if-VLAN 100)#vrrp 100 ip 172.16.100.254  //设置为自身ip优先级会变为255


S2:
S2(config)#interface  vlan 10
S2(config-if-VLAN 10)#vrrp 10 ip 172.16.1.1   
S2(config)#interface  vlan 20
S2(config-if-VLAN 20)#vrrp 20 ip 172.16.1.254 
S1(config-if-VLAN 20)#vrrp 20 ipv6 FE80::1  //ipv6 vrrp 第一个需要设置链路本地地址 
S1(config-if-VLAN 20)#vrrp 20 ipv6 2002:1001:1001::254  
S2(config)#interface  vlan 100
S2(config-if-VLAN 100)#vrrp 100 ip 172.16.100.254  //默认优先级就是100
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20

DHCP

总部R1与分部R2,R3上启用DHCP,为局域网vlan10,vlan20终端自动分配地址

R1:
R1(config)#service dhcp
R1(config)#ip dhcp pool ap
R1(dhcp-config)#netw
R1(dhcp-config)#network 172.16.1.0 255.255.255.128
R1(dhcp-config)#option 138 ip 172.16.100.1 172.16.100.2
R1(dhcp-config)#default-rou 172.16.1.1
R1(config)#ip dhcp pool wx
R1(dhcp-config)#netw
R1(dhcp-config)#network 172.16.1.128 255.255.255.128
R1(dhcp-config)#default-router 172.16.1.254

R2:
R2(config)#service dhcp
R2(config)#ip dhcp pool ap
R2(dhcp-config)#netw
R2(dhcp-config)#network 172.16.2.0 255.255.255.128
R2(dhcp-config)#option 138 ip 172.16.100.1 172.16.100.2
R2(dhcp-config)#default-rou 172.16.2.1
R2(config)#ip dhcp pool wx
R2(dhcp-config)#netw
R2(dhcp-config)#network 172.16.2.128 255.255.255.128
R2(dhcp-config)#default-router 172.16.2.

R3:
R3(config)#service dhcp
R3(config)#ip dhcp pool ap
R3(dhcp-config)#netw
R3(dhcp-config)#network 172.16.3.0 255.255.255.128
R3(dhcp-config)#option 138 ip 172.16.100.1 172.16.100.2
R3(dhcp-config)#default-rou 172.16.3.1
R3(config)#ip dhcp pool wx
R3(dhcp-config)#netw
R3(dhcp-config)#network 172.16.3.128 255.255.255.128
R3(dhcp-config)#default-router 172.16.3.254
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35

DHCP relay

S1:
S1(config)#service dhcp  //开启DHCP服务
S1(config)#ip helper-address 10.10.10.10   //指定DHCP的中继地址为10.10.10.10,loopback口稳定

S2:
S2(config)#service dhcp  //开启DHCP服务
S2(config)#ip helper-address 10.10.10.10   //指定DHCP的中继地址为10.10.10.10,loopback口稳定
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

DHCP安全防护

总部局域网内启用DHCP啊去防护机制,通过硬件IP/MAC表项项过滤匹配,保证动态环境下网络及终端主机安全

分部局域网内启用DHCP安全防护机制,避免动态环境下用户私设IP地址

//DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络
  • 1
S4:
S4(config)#ip dhcp snooping   //开启DHCP snooping功能,监听DHCP地址,还可以防止用户伪造DHCP服务器,避免用户获取错误的地址
S4(config)#interface  range  gigabitEthernet  0/23-24 
S4(config-if-range)#ip dhcp snooping trust //开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发trust口收到的DHCP响应报文(offer,ack)
S4(config)#interface  range  gigabitEthernet  0/1-20
S4(config-if-range)#ip verify source port-security //开启源IP+MAC的保温检测,将DHCP snooping形成的snooping表写入地址绑定数据库中
S4(config-if-range)#arp-check  //开启后,对于接口收到的arp报文会检测ARP报文字段里面的源IP和源MAC,与地址库中的IP及MAC进行匹配,如果匹配将放行,否则丢弃ARP报文

S5:
S5(config)#ip dhcp snooping   
S5(config)#interface  range  gigabitEthernet  0/23-24 
S5(config-if-range)#ip dhcp snooping trust 
S5(config)#interface  range  gigabitEthernet  0/1-20
S5(config-if-range)#ip verify source port-security 
S5(config-if-range)#arp-check  

R2:
R2(config)#ip dhcp snooping   
R2(config)#interface  range  gigabitEthernet  1/1
R2(config-if-range)#ip verify source port-security 

R3:
R3(config)#ip dhcp snooping   
R3(config)#interface  range  gigabitEthernet  1/1
R3(config-if-range)#ip verify source port-security 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25

运营商OSPF

联通运营商S5/S6/S7骨干网设备间启用OSPF路由协议,进程号10,区域号0

联通运营商只维护宽带业务与专线业务网段,对于客户私有网段不做转发

S5:
S5(config)#int tenGigabitEthernet  0/27
S5(config-if-TenGigabitEthernet 0/27)#ip ospf network point-to-point  //网络类型为点对点链路
S5(config)#router ospf  10  //开启OSPF进程
S5(config-router)#router-id 10.10.10.5   //设置router-id
S5(config-router)#network 56.1.1.0 0.0.0.3 a 0
S5(config-router)#redistribute connected metric-type 1 subnets  //重分布直连网段以type 1 的方式重分布

S7:
S7(config)#router ospf  10  //开启OSPF进程
S7(config-router)#router-id 10.10.10.7   //设置router-id                                 
S7(config-router)#network 67.1.1.0 0.0.0.3 a 0
S7(config-router)#redistribute connected metric-type 1 subnets  //重分布直连网段以type 1 的方式重分布

S6:
S6(config)#router ospf  10  //开启OSPF进程
S6(config-router)#router-id 10.10.10.6   //设置router-id
S6(config-router)#network 56.1.1.0 0.0.0.3 a 0
S6(config-router)#network 67.1.1.0 0.0.0.3 a 0
S6(config-router)#redistribute connected metric-type 1 subnets  //重分布直连网段以type 1 的方式重分布
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20

GRE

总部R1,与分部R2,R3上启用点对多点GRE隧道,隧道IP地址段为10.5.1.0/24

R1:
R1(config)#ip route 25.1.1.0 255.255.255.252 17.1.1.1
R1(config)#ip route 37.1.1.0 255.255.255.252 17.1.1.1
R1(config)#int tunnel 0
R1(config-if-Tunnel 0)#tunnel mode gre multipoint  //将tunnel口设置为gre点对多点模式
R1(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2  //源为接口g0/2
R1(config-if-Tunnel 0)#ip nhrp network-id 100  //设置GRE子接口的NBMA网络识别符为100
R1(config-if-Tunnel 0)#ip nhrp map multicast dynamic //创建伪广播
R1(config-if-Tunnel 0)#ip ospf  network broadcast  //设置ospf网络类型为MA网络

R2:
R2(config)#ip route 17.1.1.0 255.255.255.252 25.1.1.1
R2(config)#int tunnel 0
R2(config-if-Tunnel 0)#ip ospf priority 0   //放弃DR选举
R2(config-if-Tunnel 0)#ip nhrp map multicast 17.1.1.2 //开启伪广播,让分支可以以组播或广播地址为目标
R2(config-if-Tunnel 0)#tunnel mode gre multipoint  //将tunnel口设置为gre点对多点模式
R2(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2 //源为接口g0/2
R2(config-if-Tunnel 0)#ip nhrp nhs 10.5.1.1  //设置GRE子接口的下一跳服务器IP地址
R2(config-if-Tunnel 0)#ip nhrp network-id 100  //设置GRE子接口的NBMA网络识别符为100
R2(config-if-Tunnel 0)#ip nhrp map 10.5.1.1 17.1.1.2  //在子接口上绑定对端ip与公网ip
R2(config-if-Tunnel 0)#ip ospf  network broadcast  //设置ospf网络类型为MA网络

R3:
R3(config)#ip route 17.1.1.0 255.255.255.252 37.1.1.1
R3(config)#int tunnel 0
R3(config-if-Tunnel 0)#ip ospf priority 0   //放弃DR选举
R2(config-if-Tunnel 0)#ip nhrp map multicast 17.1.1.2 //开启伪广播,让分支可以以组播或广播地址为目标
R3(config-if-Tunnel 0)#tunnel mode gre multipoint  //将tunnel口设置为gre点对多点模式
R3(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2 //源为接口g0/2
R3(config-if-Tunnel 0)#ip nhrp nhs 10.5.1.1  //设置GRE子接口的下一跳服务器IP地址
R3(config-if-Tunnel 0)#ip nhrp network-id 100  //设置GRE子接口的NBMA网络识别符为100
R3(config-if-Tunnel 0)#ip nhrp map 10.5.1.1 17.1.1.2  //在子接口上绑定对端ip与公网ip
R3(config-if-Tunnel 0)#ip ospf  network broadcast  //设置ospf网络类型为MA网络
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33

OSPF

GRE隧道内运行OSPF协议,实现总部与分部,分部与分部间局域网互联互通。其中总部S1/S2/EG1/EG2/R1局域网内启用OSPF路由协议,进程号为11,区域为0;广州分部R2局域网内启用OSPF路由协议,进程号为12,区域0;上海分部R3局域网内启用OSPF路由协议,进程号13,区域0

S1:
S1(config)#router ospf 11
S1(config-router)#router-id 10.10.10.100
S1(config-router)#passive-interface VLAN 10
S1(config-router)#passive-interface VLAN 20
S1(config-router)#network 10.1.1.0 0.0.0.3 area 0
S1(config-router)#network 10.3.1.0 0.0.0.3 area 0
S1(config-router)#network 10.10.10.100 0.0.0.0 area 0
S1(config-router)#network 172.16.1.0 0.0.0.127 area 0
S1(config-router)#network 172.16.1.128 0.0.0.127 area 0
S1(config-router)#network 172.16.100.0 0.0.0.255 area 0

S2:
S2(config)#ip access-list standard 10   //写ACL匹配路由条目
S2(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255 
S2(config-std-nacl)#exit
S2(config)#router ospf 11
S2(config-router)#router-id 10.10.10.200
S2(config-router)#passive-interface VLAN 10
S2(config-router)#passive-interface VLAN 20
S2(config-router)#network 10.2.1.0 0.0.0.3 area 0
S2(config-router)#network 10.4.1.0 0.0.0.3 area 0
S2(config-router)#network 10.10.10.200 0.0.0.0 area 0
S2(config-router)#network 172.16.100.0 0.0.0.255 area 0
S2(config-router)#distribute-list 10 out connected  //把直连路由重分布进ospf的时候做路由过滤
S2(config-router)#summary-address 172.16.1.0 255.255.255.0 //引入LSA5的路由汇总信息
S2(config-router)#redistribute connected metric-type 1 subnets //重分布直连网络type1的方式

EG2:
EG2(config)#ip access-list standard 10
EG2(config-std-nacl)#10 permit 20.10.10.0 0.0.0.255
EG2(config-std-nacl)#exit 
EG2(config)#ip route 20.10.10.5 255.255.255.255 26.1.1.1
EG2(config)#ip route 20.10.10.6 255.255.255.255 26.1.1.1
EG2(config)#router ospf 11
EG2(config-router)#router-id 10.10.10.2
EG2(config-router)#network 10.2.1.0 0.0.0.3 area 0
EG2(config-router)#network 10.10.10.2 0.0.0.0 area 0
EG2(config-router)#distribute-list 10 out connected 
EG2(config-router)#summary-address 20.10.10.0 255.255.255.0
EG2(config-router)#redistribute static metric-type 1 subnets

EG1:
EG1(config)#ip route 20.10.10.5 255.255.255.255 15.1.1.1
EG1(config)#ip route 20.10.10.6 255.255.255.255 15.1.1.1
EG1(config)#router ospf 11
EG1(config-router)#router-id 10.10.10.1
EG1(config-router)#network 10.1.1.0 0.0.0.3 area 0
EG1(config-router)#network 10.10.10.1 0.0.0.0 area 0
EG1(config-router)#redistribute static metric-type 1 subnets

R1:
R1(config)#router ospf 11
R1(config-router)#router-id 10.10.10.10
R1(config-router)#network 10.5.1.0 0.0.0.255 area 0
R1(config-router)#network 10.3.1.0 0.0.0.3 area 0
R1(config-router)#network 10.4.1.0 0.0.0.3 area 0
R1(config-router)#network 10.10.10.10 0.0.0.0 area 0
    
R2:
R2(config)#ip access-list standard 10   //写ACL匹配路由条目
R2(config-std-nacl)#10 permit 172.16.2.0 0.0.0.255 
R2(config-std-nacl)#20 permit host 10.10.10.20 
R2(config-std-nacl)#exit
R2(config)#router ospf 12
R2(config-router)#router-id 10.10.10.20
R2(config-router)#network 10.5.1.0 0.0.0.255 a 0
R2(config-router)#passive-interface VLAN 10
R2(config-router)#passive-interface VLAN 20
R2(config-router)#distribute-list 10 out connected  //把直连路由重分布进ospf的时候做路由过滤
R2(config-router)#summary-address 172.16.2.0 255.255.255.0 //引入LSA5的路由汇总信息
R2(config-router)#redistribute connected metric-type 1 subnets //重分布直连网络type2的方式

    //R3跟R2要拒绝172.16.1.0 172.16.1.128网段的5类LSA注入
    
R3:
R3(config)#ip access-list standard 10   //写ACL匹配路由条目
R3(config-std-nacl)#10 permit 172.16.3.0 0.0.0.255 
R3(config-std-nacl)#20 permit host 10.10.10.30 
R3(config-std-nacl)#exit
R3(config)#router ospf 13
R3(config-router)#router-id 10.10.10.30
R3(config-router)#network 10.5.1.0 0.0.0.255 a 0
R3(config-router)#passive-interface VLAN 10
R3(config-router)#passive-interface VLAN 20
R3(config-router)#distribute-list 10 out connected  //把直连路由重分布进ospf的时候做路由过滤
R3(config-router)#summary-address 172.16.3.0 255.255.255.0 //引入LSA5的路由汇总信息
R3(config-router)#redistribute connected metric-type 1 subnets //重分布直连网络type2的方式
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82
  • 83
  • 84
  • 85
  • 86
  • 87
  • 88

IPSEC VPN

启用ipsec vpn加密GRE隧道流量,对总部与分部,分部与分部间业务数据进行保护,规避报文分片导致的设备性能消耗,调整IPSEC隧道封装模式减小报文长度

R3:
R3(config)#crypto isakmp policy 1 //创建新的isakmp策略
R3(isakmp-policy)#encryption 3des   //指定使用3des进行加密
R3(isakmp-policy)#authentication pre-share  //指定认证方式为“预共享密钥”,用的最多
R3(isakmp-policy)#hash md5  //认证hash算法采用md5认证
R3(isakmp-policy)#exit
R3(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0  //配置预共享密钥。指定peer任意的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
R3(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置ipsec加密转换集,名字为myset,没有指定就写R1一致的
R3(cfg-crypto-trans)#mode transport  //指定隧道模式为传输模式
R3(config)#crypto isakmp keepalive 5 periodic  //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次
R3(config)#ip access-list extended 101
R3(config-ext-nacl)#permit ip 10 permit ip host 37.1.1.2 host 17.1.1.2 
R3(config-ext-nacl)#permit ip 20 permit ip host 37.1.1.2 host 25.1.1.2  //需要访问ac不然,
R3(config-ext-nacl)#exit
R3(config)#crypto map mymap 10 ipsec-isakmp  //新建名称为”mymap“的加密图
R3(config-crypto-map)#set peer 25.1.1.2  //指定peer地址
R3(config-crypto-map)#set peer 17.1.1.2  //指定peer地址
R3(config-crypto-map)#set transform-set myset  //指定加密转换集”myset“
R3(config-crypto-map)#match address 101 //匹配感兴趣流ACL101
R3(config-crypto-map)#exit
R3(config)#int g 0/2
R3(config-if-gigabitethernet 0/2)#crypto map mymap  //将加密图应用到接口

R1:
R1(config)#crypto isakmp policy 1 //创建新的isakmp策略
R1(isakmp-policy)#encryption 3des   //指定使用3des进行加密
R1(isakmp-policy)#authentication pre-share  //指定认证方式为“预共享密钥”,用的最多
R1(isakmp-policy)#hash md5  //认证hash算法采用md5认证
R1(isakmp-policy)#exit
R1(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0  //配置预共享密钥。指定peer任意的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置ipsec加密转换集,名字为myset,没有指定就写R1一致的
R1(cfg-crypto-trans)#mode transport  //指定隧道模式为传输模式
R1(config)#crypto isakmp keepalive 5 periodic  //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次
R1(config)#ip access-list extended 101
R1(config-ext-nacl)#permit ip 10 permit ip host 17.1.1.2 host 37.1.1.2 
R1(config-ext-nacl)#permit ip 20 permit ip host 17.1.1.2 host 25.1.1.2  //需要访问ac不然,
R1(config-ext-nacl)#exit
R1(config)#crypto map mymap 10 ipsec-isakmp  //新建名称为”mymap“的加密图
R1(config-crypto-map)#set peer 25.1.1.2  //指定peer地址
R1(config-crypto-map)#set peer 37.1.1.2  //指定peer地址
R1(config-crypto-map)#set transform-set myset  //指定加密转换集”myset“
R1(config-crypto-map)#match address 101 //匹配感兴趣流ACL101
R1(config-crypto-map)#exit
R1(config)#int g 0/2
R1(config-if-gigabitethernet 0/2)#crypto map mymap  //将加密图应用到接口

R2:
R2(config)#crypto isakmp policy 1 //创建新的isakmp策略
R2(isakmp-policy)#encryption 3des   //指定使用3des进行加密
R2(isakmp-policy)#authentication pre-share  //指定认证方式为“预共享密钥”,用的最多
R2(isakmp-policy)#hash md5  //认证hash算法采用md5认证
R2(isakmp-policy)#exit
R2(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0  //配置预共享密钥。指定peer任意的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
R2(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置ipsec加密转换集,名字为myset,没有指定就写R1一致的
R2(cfg-crypto-trans)#mode transport  //指定隧道模式为传输模式
R2(config)#crypto isakmp keepalive 5 periodic  //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次
R2(config)#ip access-list extended 101
R2(config-ext-nacl)#permit ip 10 permit ip host 25.1.1.2 host 37.1.1.2 
R2(config-ext-nacl)#permit ip 20 permit ip host 25.1.1.2 host 17.1.1.2  //需要访问ac不然,
R2(config-ext-nacl)#exit
R2(config)#crypto map mymap 10 ipsec-isakmp  //新建名称为”mymap“的加密图
R2(config-crypto-map)#set peer 17.1.1.2  //指定peer地址
R2(config-crypto-map)#set peer 37.1.1.2  //指定peer地址
R2(config-crypto-map)#set transform-set myset  //指定加密转换集”myset“
R2(config-crypto-map)#match address 101 //匹配感兴趣流ACL101
R2(config-crypto-map)#exit
R2(config)#int g 0/2
R2(config-if-gigabitethernet 0/2)#crypto map mymap  //将加密图应用到接口
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68

IPv6

R3:
R3(config)#interface Tunnel 1
R3(config-if-Tunnel 0)#tunnel mode ipv6ip 6to4  //接口下指定隧道的类型为6to4隧道
R3(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2
R3(config-if-Tunnel 0)#ipv6 enable
R3(config)#ipv6 route 2002:1901:102::/64 Tunnel 1  //配置通往对端6to4网段的路由
R3(config)#ipv6 route 2002:1101:102::/64 Tunnel 1 //配置通往对端6to4网段的路由

R2:
R2(config)#interface Tunnel 1
R2(config-if-Tunnel 0)#tunnel mode ipv6ip 6to4  //接口下指定隧道的类型为6to4隧道
R2(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2
R2(config-if-Tunnel 0)#ipv6 enable
R2(config)#ipv6 route 2002:2501:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R2(config)#ipv6 route 2002:1101:102::/64 Tunnel 1 //配置通往对端6to4网段的路由

R1:
R1(config)#interface Tunnel 1
R1(config-if-Tunnel 0)#tunnel mode ipv6ip 6to4  //接口下指定隧道的类型为6to4隧道
R1(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2
R1(config-if-Tunnel 0)#ipv6 enable
R1(config)#ipv6 route 2002:2501:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R1(config)#ipv6 route 2002:1901:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R1(config)#ipv6 router ospf 1
R1(config-router)#router-id 10.10.10.10
R1(config-router)#redistribute static metric-type 1  //重分布静态路由以OE1的方式
R1(config)#interface G 0/1
R1(config-if-G 0/1)#ipv6 ospf cost 10 
R1(config-if-G 0/1)#ipv6 ospf 1 area 0 
R1(config)#interface G 0/0
R1(config-if-G 0/0)#ipv6 ospf 1 area 0

S1:
S1(config)#ipv6 router ospf 1
S1(config-router)#router-id 10.10.10.100
S1(config)#interface VLAN 20
R1(config-if-vlan 20)#ipv6 ospf 1 area 0
S1(config)#interface G 0/6
R1(config-if-G 6)#ipv6 ospf 1 area 0

S2:
S2(config)#ipv6 router ospf 1
S2(config-router)#router-id 10.10.10.200
S2(config)#interface VLAN 20
R2(config-if-vlan 20)#ipv6 ospf 1 area 0
S2(config)#interface G 0/6
R2(config-if-G 6)#ipv6 ospf 1 area 0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47

NAT

EG1:
EG1(config)#ip access-list extended 110   //扩展acl
EG1(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 any  
EG1(config-ext-nacl)#exit
EG1(config)#ip nat pool ruijie netmask 255.255.255.252 //配置一个名为ruijie的公网地址池
EG1(config-ipnat-pool)#address  15.1.1.2 15.1.1.2  //地址为接口地址
EG1(config)#ip nat inside source list 110 pool ruijie overload //设置napt 将acl 110匹配的流量,执行NAT转换,转换成g 0/3口的地址 overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数
EG1(config)#interface gigabitEthernet 0/2
EG1(config-gigabitethernet 0/3)#ip nat outside    //配置nat的外网口
EG1(config)#interface gigabitEthernet 0/1
EG1(config-gigabitethernet 0/3)#ip nat inside    //配置nat的内网口

EG2:
EG2(config)#ip access-list extended 110   //扩展acl
EG2(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 any  
//要先保证走ike隧道的数据不被nat,最后才允许内网nat访问公网资源
EG2(config-ext-nacl)#exit
EG2(config)#ip nat pool ruijie netmask 255.255.255.252 //配置一个名为ruijie的公网地址池
EG2(config-ipnat-pool)#address  26.1.1.2 26.1.1.2  //地址为接口地址
EG2(config)#ip nat inside source list 110 pool ruijie overload//设置napt 将acl 110匹配的流量,执行NAT转换,转换成g 0/3口的地址 overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数
EG2(config)#interface gigabitEthernet 0/2
EG2(config-gigabitethernet 0/3)#ip nat outside    //配置nat的外网口
EG2(config)#interface gigabitEthernet 0/1
EG2(config-gigabitethernet 0/3)#ip nat inside    //配置nat的内网口
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24

WLAN

!
wlan-config 1 Test-GZ_chen
 ssid-code utf-8
 tunnel local
!
wlan-config 2 Test-sh_CHEN
 ssid-code utf-8
 wlan-based per-ap-limit down-streams average-data-rate 800 burst-data-rate 1600
 tunnel local
!
wlan-config 3 Test-BJ_chen
 ssid-code utf-8
 tunnel local
!
ap-group BJ
 interface-mapping 3 20 radio 1 ap-wlan-id 1
 interface-mapping 3 20 radio 2 ap-wlan-id 1
!
ap-group GZ
 interface-mapping 1 20 radio 1 ap-wlan-id 1
 interface-mapping 1 20 radio 2 ap-wlan-id 1
!
ap-group SH
 interface-mapping 2 20 radio 1 ap-wlan-id 1
 interface-mapping 2 20 radio 2 ap-wlan-id 1
!
ap-group default
!
ap-config all
!
ac-controller
 capwap ctrl-ip 172.16.100.2
 country CN
 802.11g network rate 1 disabled
 802.11g network rate 2 disabled
 802.11g network rate 5 disabled
 802.11g network rate 6 supported
 802.11g network rate 9 supported
 802.11g network rate 11 mandatory
 802.11g network rate 12 supported
 802.11g network rate 18 supported
 802.11g network rate 24 supported
 802.11g network rate 36 supported
 802.11g network rate 48 supported
 802.11g network rate 54 supported
 802.11b network rate 1 disabled
 802.11b network rate 2 disabled
 802.11b network rate 5 disabled
 802.11b network rate 11 mandatory
 802.11a network rate 6 disabled
 802.11a network rate 9 disabled
 802.11a network rate 12 mandatory
 802.11a network rate 18 supported
 802.11a network rate 24 mandatory
 802.11a network rate 36 supported
 802.11a network rate 48 supported
 802.11a network rate 54 supported
!
spanning-tree mode rstp
spanning-tree
!


!

n
wlan hot-backup 172.16.100.1
 !
 context 10
  ap-group BJ
  ap-group GZ
  ap-group SH
 !
!
wlansec 1
 security rsn enable
 security rsn ciphers aes enable
 security rsn akm psk enable
 security rsn akm psk set-key ascii 123456789
!
wlansec 2
 security rsn enable
 security rsn ciphers aes enable
 security rsn akm psk enable
 security rsn akm psk set-key ascii 123456789
!
wlansec 3
 security rsn enable
 security rsn ciphers aes enable
 security rsn akm psk enable
 security rsn akm psk set-key ascii 123456789
!
ip route 0.0.0.0 0.0.0.0 172.16.100.254
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82
  • 83
  • 84
  • 85
  • 86
  • 87
  • 88
  • 89
  • 90
  • 91
  • 92
  • 93

IPV6

 Ruijie(config-if-GigabitEthernet 1/1)#no ipv6 nd suppress-ra   //开启路由通告功能

   Ruijie(config-if-GigabitEthernet 1/1)#ipv6 nd other-config-flag  //通告O位获取其他信息

   Ruijie(config-if-GigabitEthernet 1/1)# ipv6 dhcp pool ruijie  //在接口下调用地址池
  • 1
  • 2
  • 3
  • 4
  • 5

SSH

所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin

S7(config)#enable service ssh-server  //开启SSH服务
S7(config)#enable password admin  //配置enable密码admin
S7(config)#username admin password admin1234  //配置用户名为admin密码为admin1234
S7(config)#line vty 0 4  //进入虚拟用户线程
S7(config-line)#login local  //对SSH登陆设备启用基于用户名和密码认证
S7(config-line)#exit
S7(config)#crypto key generate rsa    //加密方式有两种:DSA和RSA,可以随意选择   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

SNMP

S7设备配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息

S7(config)#snmp-server community public ro
S7(config)#snmp-server community Test rw
S7(config)#snmp-server host 172.16.0.254 version 2c Test
S7(config)#snmp-server host 172.16.0.254 version 2c public
S7(config)#snmp-server enable traps
  • 1
  • 2
  • 3
  • 4
  • 5

Ruijie(config)#snmp-server group g1 v3 priv read default write default //default默认全部视图名称

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/694119
推荐阅读
相关标签
  

闽ICP备14008679号